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@ Verfahren zur Sicherung von verschlusselten vertraulichen Informationsubertragungen 



) Bei der Informationsubertragung von Signalisierungs-, 
Steuerungs- und Oberwachungsinformationon bestehen Si- 
cherheitsprobleme, um Beeinflussungen, Abhoren, Manipu- 
iationen Dritter und Fehlinterpretationen sicher zu vermei- 
den. 

Die Erfindung lost diese Problematik durch Ersatz der 
Systemkennungen durch Zertifikate, wobei die Module uber 
Sicherheitseinrichtungen der Zentrale und der AuSenstellen 
in wechselweise Verbindung, zunachst zur Urinitilisierung 
mit sitzungsindividueller Authentikation, treten, wonach eine 
zugriffssichere Speicherung einer ID und eines Zeitreglmes 
fur ISDN-Rufnummer und UUS-frame Sendungen durchge- 
fuhrt werden. 

Anwendungsgebiete der Erfindung sind vertrauliche ver- 
schiusselte Informationsubertragungen aller Art. 
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Beschreibung 

Die Erfindung bezieht sich auf ein Verfahren der im 
Oberbegriff des Patentanspruches 1 naher definierten 
Art Ein derartiges Verfahren ist z. B. in DIN 
ETS300 100-1 "ISDN usre network interface layer 3 
specification for Basic call control", in DIN 
ETS 300 100-2 "ISDN user network interface layer 3 
specification for Basic call control-SDL", sowie im Do- 
cument No.: T/S 46-33T version 5, Date: 1991-12-06 
"USER to USER signalling (UUS) Sapplementary servi- 
ce" von ETSI beschrieben. 

Die bekannten Losungen weisen einen entscheiden- 
den Mangel auf: die Beeinflussungsmoglichkeit des Ge- 
samtsystems durch gezielte Angriffe und damit Schwa- 
chung der Funktionalitaten "Steuern, Regeln, Oberwa- 
chen". 

Bei den bekannten LOsungen/Systemen kdnnen die 
Nachrichteninhalte (hier im UUS) auf dem Obertra- 
gungsweg von Angr^ifern beeinfluBt und/oder abge- 
hdrt werden. AuSerdem konnten Angreifer gezielte 
Falschinformation einspielen und damit die Integritat 
angreifen. Dies wurde zu Fehlinterpretationen fiihren 
und die Gesamtfunktionalitat des Systems in Frage stel- 
len. Der Systembetreiber wiirde mit unndtigen Kosten 
belastet 

Bei Nutzung des UUS zum Transport von Signalisie- 
rungs-, Steuerungs- und Oberwachungsinformationen 
in einem offenen Kommunikationssystem, hier EURO- 
ISDN, besteht die Gefahr, daB unberechtigte Personen 
und nicht autorisierte Systeme bzw. Systemkomponen- 
ten die Informationsinhalte im UUS manipulieren und/ 
oder abhoren konnen. Die Aussagekraft des Gesamtsy- 
stems wird damit in Frage gestellt, und die Zuverlassig- 
keit ist nicht gegeben. 

Aus diesem Grunde sind, als Aufgabe der Erfindung, 
durch eine Verfcnderung der Verfahrensweise geeignete 
Sicherheitsvorkehrungen zu treffen. 

Diese Aufgabe wird durch die im Kennzeichen des 
Patentanspruch 1 aufgefuhrten Verfahrensschritte ge- 
lost. 

Vorteilhafte Weiterbildungen des Verfahrens sind in 
den Kennzeichen der Anspriiche 2 bis 4 beschrieben. 

Es ist dabei das Prinzip der Erfindung, die Systemken- 
nungen (der entspr. Equipments in den AuBenstellen 
und Betriebszentralen) sowie eventuell vorhandene 
OperatorpaBworte, die zur Identifizierung der in den 
AuBenstellen- und Betriebszentralen benutzten Equip- 
ments und ggf. Operator dienen, durch sogenannte Zer- 
tifikate zu ersetzen. 

Moderne Zugangssicherungs- und Kommunikations- 
sicherungsverfahren erlauben den Einsatzchipkarten- 
und sicherheitsmodulgestutzter Verfahren. Sie kdnnen 
beliebig lange und beliebig komplexe "PaBworte" auch 
Systemkennungen (quasi Systemidentitaten) speichern. 
Sicherung gegen Ausforschung durch Verwendung von 
Chipkarten und chipkartengestfitzten Sicherheitsmodu- 
len in entsprechenden Sicherheitszusatzeinrichtungen 
mit EURO-ISDN Schnittstellen. 

Die Erfindung wird nachstehend an Ausfuhrungsbei- 
spielen naher erlSutert: 
Bestandteile der Zertifikate: 

— Identitat (Name) des Equipments der AuBenstel- 
le und Betriebszentrale sowie ggf. des Operators 

— Ausgabedatum und Gultigkeitsdatum 

— Ausgabestelle(Name) 

— offentlicher, personalisierter Schlussel des in Au- 



Benstellen und Betriebszentralen vorhandenen 
Equipments sowie des Operators 
— die, durch den geheimen Schlussel der Ausgabe- 
stelle kryptographisch gesicherte elektronische 
5 Unterschrift alier im Zertifikat enthaltenen Daten 
unter Verwendung eines public key Kryptoverfah- 
rens. 

Weiter werden die Nachrichteninhalte im UUS mit 
io authentisch Qbermittelten "Sitzungsschlusseln" zwi- 
schen den AuBenstellen und Betriebs zentralen ver- 
schlusselt und somit gegen Angriffe geschfltzt 

Erlauterung des authentisch fibermittelten Sitzungs- 
schlussels. 

is Betriebszentrale und AuBenstelle fuhren eine sit- 
zungsindividueile Authentikatifikation (z. B. nach dem 
challenge und response Verfahren) unter Verwendung 
ihrer geheimen "System-Schlussel" durch; dabei gene- 
riert einer der beteiligten Equipments einen Sitzungs- 

20 schlussel (symmetrischer SchlOssel) und sendet ihn als 
verschliisselte Information dem anderen Equipment un- 
ter Verwendung dessen off entlichen Schlusselk 

Es obliegt der Betriebszentrale bzw. dem Operating, 
wie lange (Zeitraum) ein authentisch ubermittelter Sit- 

25 zungsschlussel zwischen der Betriebszentrale und einer 
AuBenstelle benutzt wird. 

Entsprechend den Einstellungen des Operatings 
(Zeitintervall fiir Nutzung des gleichen SchlQssels) gene- 
riert die Sicherheitsrichtung der Betriebszentrale einen 

30 neuen VerschltisselungsschlQssel und ubertragt diesen 
mit einem entspr. Befehl im UUS zur AuBenstelle. Da- 
mit ist sichergestellt, daB in einstellbaren Zeitintervallen 
andere Schlussel benutzt werden. 
Der Funktionsablauf ist unter den Voraussetzungen: 



35 



40 



— Installation der Sicherheitseinrichtung in der/ 
den Betriebszentrale/n und Eingabe der ISDN- 
Rufnummer der AuBenstellen, 

— Funktionsfahiger ISDN-AnschluB, 

— Installation der Sicherheitseinrichtung in den 
AuBenstellen und Eingabe der ISDN-Rufnummer 
der zustandigen Betriebszentrale/n und 

— Funktionsfahiger ISDN-AnschluB, 



45 wie folgt zu erklSren: 

Nach Installation der Sicherheitseinrichtung in der Au- 
Benstelle und Eingabe der ISDN-Rufnummer der Be- 
triebszentrale wird automatisch oder manuell eine Ver- 
bindung (Auf ruf fur Urinitialisierung) vqm "Modul" Qber 

50 die Sicherheitseinrichtung zur Betriebszentrale ange- 
fordert (Interne Nutzung der UUS zwischen Modul und 
Sicherheitseinrichtung). 

Die Sicherheitseinrichtung der AuBenstelle baut nun 
eine Verbindung (im EURO-ISDN) zur Sicherheitsein- 

55 richtung in der Betriebszentrale auf und fordert einen 
B-Kanal fur DatenQbertragung an. 

Die beiden Sicherheitseinrichtungen vereinbaren ei- 
ne "Urinitialisierung fur AuBenstelle" Danach erfolgt 
eine gegenseitige sitzungsindividuelle Authentikation, 

60 Generierung eines "Sitzungsschlussels" und authenti- 
sche und vertrauliche Obertragung desselben zur Au- 
Benstelle. 

Der Sitzungsschlussel wird in den Sicherheitsrnodu- 
len fur UUS Nutzung unausforschbar gespeichert Da- 
65 nach wird die Verbindung abgebaut und der B-Kanal 
kann fiir andere Anwendungen benutzt werden. 

Zusatzlich kann die Sicherheitseinrichtung SEZ in der 
Zentrale eine AuBenstellen- ID generieren und als ver- 
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trauliche Info der AuBenstelle senden und intern spei- 
chern. In diesem Fall wQrde die SE der AuBenstelle 
diese ID speichern und als def. UUS Info an das Modul 
weitergeben. 

Immer, wenn das Modul einen Befehl oder erne Mel- 5 
dung an die SE sendet, wird die ID des Moduls mit der 
ID in der SE Qberprflft 

Die SEZ in der Betriebszentrale sendet eine Informa- 
tion an die zentraie Einrichtung. Applikation zur AuBen- 
stelle (ISDN-Rufnummer) kann genutzt werden (ggf. 10 
wird die ID mit fibertragen). 

Die zentraie Einrichtung reiht die AuBenstelle in die 
Abrufliste ein (ggf. wird TD-AuBenstelle in entspr. 
Rechtedatei aufgenommen). 

Die SEZ erganzt ihre gesicherte zugriffsgeschiitzte 15 
Datei — ISDN-Rufnummer/akt Schlussel und fiber- 
wacht den w Generierungszeitpunkt-Schliisser. 

Sobald die zentraie Einrichtung aufgrund der inter- 
nen Abrufliste (zeitgesteuert) eine AuBenstelle anspre- 
chen will, sendet sie die ISDN-Rufnummer der AuBen- 20 
stelle und das entspr. Infofeld als UUS Info an ihre SEZ. 
Diese holt den entspr. Sitzungsschliissel und verschlus- 
selt den UUS-Frame bzw. Teile des UUS-Frames und 
sendet dies ins Netz. 

Die SEA der AuBenstelle entschlusselt den UUS-Fra- 25 
me, sendet ihn zum ModuL Das Modul wertet aus und 
sendet als Antwort UUS-Frame (evtL mit ID) und 
ISDN-Rufnummer der Zentraie an SEZ. 

Die SEA verschlusselt UUS-Frame bzw. Frameteile 
und sendet ISDN-Rufnummer und UUS-Frame zum 30 
Netz. 

SEZ Zentraie entschlasselt UUS-FRame und gibt ihn 
an die zentraie Einrichtung weiter. Diese wertet aus und 
veranlaBt weiteres. 

Wichtig: Nach Empfang UUS von AuBenstelle auf 35 
Anforderung durch Zentraie erfolgt kein Aufbau des 
B-Kanals. 

Die AuBenstelle kann ebenfalls zwischen 2 Abfragen 
Events/ Alarme an die Zentraie melden. 

Sie sendet die ISDN-Rufnummer der Zentraie und 40 
UUS-Frame an die SEA. Diese verschlusselt den UUS- 
Frame oder Teile und sendet die Info ins Netz. Die 
zentraie SEZ entschlusselt UUS und gibt Frame an die 
zentraie Einrichtung. Diese wertet aus und sendet ent- 
sprechend Frame an SEZ. Diese sendet nach VerschlUs- 45 
selung UUS-Frame an AuBenstelle. 

In gewissen Zeitabstanden ist ein Sitzungsschlfissel- 
wechsel erf orderlich. 

Zwei Alternativen sind vorstellbar: 

50 

1. SEZ in der Zentraie Qberwacht Generierungszeit 
und generiert nach deren Ablauf einen neuen key. 
Diesen sendet sie verschlQsselt auf den alten key 
der SEA einer AuBenstelle. 

2. Gleiches Verfahren wie bei Urinitialisierung, je- 55 
doch mit dem Hinweis "Schlfisselwechser. 

Patentanspruche 

1. Verfahren zur Sicherung von verschliisselten 60 
vertraulichen Informationsfibertragungen in offe- 
nen Kommunikationssystemen zwischen AuBen- 
stellenbzw. 

Zentralen mit Modul, insbesondere von Signalisie- 
rungs-, Steuerungs- und Oberwachungs-Informa- 65 
tionen im user-user signalling (UUS) des D-Chan- 
nel (D-Kanal) des Pan European Integrated Servi- 
ces Digital Network (ISDN) (In Deutschland EU- 
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RO-ISDN), dadurch gekennzeichnet, daB nach 
der Installation einer Sicherheitseinrichtung (SEA) 
in der AuBenstelle und Eingabe der ISDN-Rufnum- 
mer zuerst vom Modul eine Verbindung fiber die 
Sicherheitseinrichtung (SEA) zur Zentraie zwecks 
Urinitialisierung angefordert wird, die von der Si- 
cherheitseinrichtung der AuBenstelle (SEA) dann 
zur Sicherheitseinrichtung der der Zentraie (SEZ) 
(bzw. spater zwecks SchlOsselwechsel auch in um- 
gekehrter Richtung) mit Anforderung eines B-Ka- 
nals f(ir Datenubertragung aufgebaut wird, daB da- 
nach eine gegenseitige sitzungsindividuelle Au- 
thentikation mit Generierung und authentischer 
und vertraulicher Obertragung eines Sitzungs- 
schlOssels von der Zentraie zur AuBenstelle durch- 
gefuhrt wird, wo dieser als UUS-frame (Rahmen) 
unausforschbar fur die UUS-Nutzung gespeichert 
wird, daB danach die AuBenstelle in eine gesicherte 
zugriffsgeschiitzte Abrufliste der Zentraie eine 
Identifizierung (ID) mit ISDN-Rufnummer und 
Schlussel fur zeitgesteuerten Abruf gespeichert 
und diese erste B-Kanal- Verbindung aufgelost wird 
und daB danach, bei erneuten Verbindungen (zeit- 
gesteuert von SEZ zu SEA bzw. bei Events/ Alarm- 
meldungen von SEA zu SEZ), jeweils die ISDN- 
Rufnummer und UUS-frame gesendet werden, wo- 
nach die Gegenstelle wenigstens teilweise den 
UUS-frame mit dem aktuellen Sitzungsschliissel 
verschlusselt und fiber das Netz zur rufenden Stelle 
sendet, welche UUS-frame entschlusselt, zum Mo- 
dul zur Auswertung sendet und als Antwort wieder 
UUS-frame und ISDN-Rufnummer sendet. 
Z Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der spatere Schlttsselwechsel nach 
Ablauf eines festgelegten Zeitlirnits mittels einer 
erneuten sitzungsindividuellen Authentikation mit 
Generierung und authentischer und vertraulicher 
Sitzungsschlusselubertragung durchgefuhrt wird. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der Schlfisselwechsel im UUS-frame 
(Rahmen) unter Nutzung eines vertraulichen neuen 
Sitzungsschlussels (S-key) durchgefuhrt wird. 

4. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB durch die Sicherheiteinrichtung der 
Zentraie (SEZ) eine Identifizierung (ID) generiert, 
als vertrauliche Information an die AuBenstelle ge- 
sendet, und intern (SEZ) und in der Sicherheitsein- 
richtung der AuBenstelle (SEA) gespeichert und 
dem UUS-frame zugesetzt wird. 
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